Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

10.03.2016

Geschäftszahl

DSB-D122.322/0001-DSB/2016

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Text

GZ: DSB-D122.322/0001-DSB/2016 vom 10.3.2016

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Dr.iur. Berthold D*** (Beschwerdeführer) vom 11. März 2015 (Datum der elektronischen Signatur) gegen die X*** Gesellschaft m.b.H. (Beschwerdegegnerin), vertreten durch Mag Peter Ü***, Rechtsanwalt in **** V***, wegen Verletzung im Recht auf Auskunft in Folge unvollständiger Beantwortung des Auskunftsverlangens vom 17. Jänner 2015 durch Schreiben vom 10. März 2015 (samt Ergänzung vom 9. April 2015) wie folgt:

      Die Beschwerde wird abgewiesen.

Rechtsgrundlagen: Paragraph eins, Absatz 3, Ziffer 2,, Paragraph 26, Absatz eins und 4, Paragraph 31, Absatz eins und 7 sowie Paragraph 49, Absatz 3, des Datenschutzgesetzes 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF, in Verbindung mit Paragraph 151, Absatz 6, der Gewerbeordnung 1994 (GewO 1994), Bundesgesetzblatt Nr. 194 aus 1994, idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien

1.           Der Beschwerdeführer behauptet in seiner vom 3. Februar 2015 (Text) bzw. 11. März 2015 (Signaturdatum) datierenden und am 11. März 2015 per E-Mail bei der Datenschutzbehörde eingelangten Beschwerde eine Verletzung im Recht auf Auskunft dadurch, dass die Beschwerdegegnerin sein Auskunftsverlangen vom 17. Jänner 2015 durch Schreiben (E-Mail) vom 10. März 2015, demnach verspätet, offensichtlich unvollständig und widersprüchlich beantwortet habe. Die Beschwerdegegnerin sei von mehreren Auftraggebern als Datenquelle angeführt worden. Da er mit der Beschwerdegegnerin zuvor keine Geschäftsbeziehungen gepflogen hatte, habe er ein Auskunftsverlangen an diese gerichtet. Die erteilte Auskunft enthalte, obwohl in einer Fußnote angekündigt, keine „Anmerkungen zur voraussichtlichen Richtigkeit“ der Daten. Dies beziehe sich auf Hochrechnungen, die den gespeicherten Daten (etwa zur Häufigkeit von Umzügen) teilweise zu Grunde liegen würden. Seine Adressdaten seien vermutlich unvollständig beauskunftet worden, welche Vermutung sich darauf stütze, dass die Y*** Ges.m.b.H. (siehe Beschwerdeverfahren Zl. DSB-D122.**1) die Beschwerdegegnerin als Datenquelle angegeben und dabei noch eine (ältere, nicht mehr aktuelle) Adresse in Ä*** gespeichert habe. Gleiches gelte sinngemäß für die Speicherung seines Geburtsdatums durch die C*** Ges.m.b.H. (siehe Beschwerdeverfahren Zl. DSB-D122.**2). Er finde es weiter „verwunderlich“, dass die Beschwerdegegnerin seinen vollen Vornamen und seinen akademischen Titel speichere, die er im geschäftlichen und privaten Verkehr nirgends angegeben habe. Er gehe daher davon aus, dass die Beschwerdegegnerin nur eine Teilauskunft (nach dem Prinzip der „Salami-Taktik“) erteilt habe. Die Auskunft enthalte weiters errechnete Daten und „Wahrscheinlichkeitswerte“, etwa zu seiner Stellung im Haushalt, seinem Jahreseinkommen, der Art des Gebäudes, in dem er wohne und zu Werten und Einstellungen die er vertrete (so werde er als „Digitaler Individualist“ bezeichnet). Es fehlten aber Erklärungen zur Bedeutung dieser Werte, wobei er sich darauf stütze, sich in seinem Auskunftsverlangen auch auf die Logik jedweder Berechnung (Paragraph 49, Absatz 3, DSG 2000) bezogen zu haben. Die Beschwerdegegnerin habe es weiters unterlassen, „sinnvolle Angaben zur Herkunft der Daten“ zu machen. Dies entgegen dem Gesetz und dem Branchenstandard, welche beide die Führung entsprechender Protokolldaten vorschreiben würden. Dies sei nicht glaubwürdig und „als Versuch der Verschleierung zu qualifizieren“. Bei der Auskunft zu den Empfängern der Daten habe sich die Beschwerdegegnerin „nicht nur vollkommen inhaltsbefreit sondern auch nachweislich falsch“ auf allgemeine Branchenangaben beschränkt und dabei etwa die nachweisliche Datenübermittlung an Kreditauskunfteien nicht erwähnt. Die Angaben zum Zweck der Datenverwendung würden fehlen, die Angaben zu den Rechtsgrundlagen (Beschränkung auf das Gewerbe des Adressverlags) seien angesichts der durchgeführten „Hochrechnungen“ unklar. Der Beschwerdeführer beantragte, die von ihm behauptete Rechtsverletzung (durch Bescheid) festzustellen.

2.           Die Beschwerdegegnerin hielt dem, bereits rechtsfreundlich vertreten, in ihrer Stellungnahme vom 9. April 2015 Folgendes entgegen: Die Beschwerdegegnerin habe dem Beschwerdeführer gesetzmäßig Auskunft erteilt. Eine nunmehr durchgeführte nochmalige Überprüfung habe lediglich eine Unzulänglichkeit hinsichtlich des Geburtsdatums (das verarbeitet wurde) ergeben. Die Beschwerdegegnerin habe die Auskunft daher in diesem Punkt nunmehr in einem ergänzenden Auskunftsschreiben (ebenfalls vom 9. April 2015, Kopie vorgelegt) klargestellt. Die übrigen, vom Beschwerdeführer geltend gemachten, Beschwerdegründe seien unzutreffend. Die Daten betreffend den Umzug des Beschwerdeführers nach [Anmerkung Bearbeiter: Postleitzahl] V*** würden sich nicht auf das Datum des Umzugs sondern auf das Datum der Ermittlung und Verarbeitung der neuen Adresse beziehen. Die alte Adresse des Beschwerdeführers in Ä*** würde „aus Historienzwecken“ weiter gespeichert jedoch nicht mehr verwendet. Sie sei daher auch nicht beauskunftet worden, was möglicherweise auf einem Rechtsirrtum beruhe. Dies sei vorsorglich ebenfalls in der ergänzenden Auskunft klargestellt worden. Allerdings könnten diese Daten an Kunden der Beschwerdegegnerin, darunter die Y*** Ges.m.b.H., übermittelt worden und darum bei diesen Kunden noch gespeichert sein. Da der Beschwerdeführer sein Auskunftsverlangen mit vollem Namen und unter Anführung seines akademischen Grads gestellt habe, könne er der Beschwerdegegnerin nicht vorhalten, seine Daten entsprechend der Pflicht zur Richtigstellung ergänzt zu haben. Paragraph 49, Absatz 3, DSG 2000 sei auf die Datenverwendung durch die Beschwerdegegnerin nicht anzuwenden, da diese als Direktmarketingunternehmen lediglich Marketinganalyseverfahren und Marketingklassifikationen zur Anwendung bringe. Die Beschwerdegegnerin verwende hierzu „**Peer-Groups“, ein System der „Einteilung von Gesellschaften [...] für strategisches Marketing“, entwickelt von der deutschen F*** GmbH. Dieses sei ein gemäß Paragraph 151, Absatz 6, GewO 1994 erlaubtes Berechnungsmodell. Die Beschwerdegegnerin vertrete den rechtlichen Standpunkt, im Rahmen einer datenschutzrechtlichen Auskunftserteilung nicht die Logik jedweder Marketinganalysedaten mitteilen zu müssen, habe nunmehr aber zur Vermeidung von Streitigkeiten diese Angaben in die erteilte ergänzende Auskunft vom 9. April 2015 einbezogen. Zur Frage der Herkunft der Daten brachte die Beschwerdegegnerin Folgendes vor: Die Beschwerdegegnerin halte alle sich aus Paragraph 14, DSG 2000 ergebenden Pflichten ein. Ein Auskunftsverlangen betreffend die Herkunft der Daten stoße jedoch dort an gesetzliche Grenzen, wo mit der Feststellung der Herkunft unverhältnismäßiger Aufwand verbunden sei. Die sei bei ca. „6 Mio Consumer-Daten“, über die die Beschwerdegegnerin verfüge, der Fall. Diese Einschränkung der Auskunftspflicht entspreche auch der Rechtsprechung der früheren DSK (Hinweis auf DSK, K120.896/001-DSK/2004 u.a.). Die Beschwerdegegnerin recherchiere die Daten großteils selber, und die Führung genauer Protokolldaten über jeden derartigen Vorgang wäre gemäß Paragraph 14, Absatz eins, DSG 2000 wirtschaftlich nicht vertretbar. Gleiches gelte sinngemäß für die Empfänger der Daten, wobei das Gesetz (Hinweis auf die Rechtsprechung der DSK wie oben) hier ausdrücklich auch eine Auskunft nur über die Empfängerkreise für ausreichend erkläre. Bestritten würden Datenübermittlungen an den Z***, zutreffend seien Übermittlungen an die Y*** Ges.m.b.H. und die C*** Ges.m.b.H., wobei diese aber nicht die „**Peer-Groups Daten“ umfasst hätten. Beide Unternehmen verfügten über eine Gewerbeberechtigung als Adressverlag und Direktmarketingunternehmen. Auch hier sei die Auskunft im Schreiben vom 9. April 2015 entsprechend ergänzt worden. Es seien in der Auskunft weiters Angaben zum Zweck der Datenverwendung und zu den Vertrags- und Rechtsgrundlagen gemacht worden. Der Verarbeitungszweck könne im Übrigen auch dem DVR entnommen werden.

3.           Nach Kenntnisnahme von der ergänzenden Auskunftserteilung vom 9. April 2015 gewährte die Datenschutzbehörde dem Beschwerdeführer Parteiengehör gemäß Paragraph 31, Absatz 8, DSG 2000 (GZ: DSB-D122.322/0004-DSB/2015 vom 14. April 2015). Der Beschwerdeführer brachte nun in seiner Stellungnahme vom 22. April 2015 folgende Gründe für das Weiterbestehen seiner Beschwer (inhaltlich mangelhafte Auskunftserteilung) in den wesentlichen Punkten vor: Die Beschwerdegegnerin habe über die Frage der „voraussichtlichen Richtigkeit“ bestimmter Daten und insbesondere die nach den Umzugsdaten unzureichend beantwortet. Das Vorbringen, die Beschwerdegegnerin habe sein Auskunftsverlangen dazu benützt, Daten zu aktualisieren, sei „geradezu empörend“. Die Angaben seien überdies falsch, da die C*** (ähnliches gelte für die Y***) schon am 29.1.2015 seinen vollständigen Vornamen und seinen akademischen Grad gespeichert und sich zur Herkunft der Daten auf die Beschwerdegegnerin berufen hatte. Die Angaben der Beschwerdegegnerin zur gebotenen Protokollierung von Datenverarbeitungsvorgängen und damit zur Nachvollziehbarkeit von Herkunft und Übermittlung der Daten, seien, was das Argument der Unzumutbarkeit angehe, „grotesk“. Das Gesetz ordne eine Protokollierung nach dem „Stand der Technik“ an, und es sei „wohl unbestritten“, dass es technisch kein Problem bereite, „entsprechende Metadaten anzulegen“. Andernfalls sei eine „ordentliche Datenbankführung unmöglich“. Anderslautende Entscheidungen der früheren DSK seien vor dem Hintergrund einer inzwischen massiv veränderten Technik zu sehen. Er verfüge über Quellen (bei „namhaften Konkurrenten“ der Beschwerdegegnerin), die er aber nicht nennen könne, die ihm diese Ansicht bestätigt hätten. Es könne weiters nicht sein, dass die hohe Zahl der nach Angaben der Beschwerdegegnerin verarbeiteten Datensätze als Argument für eine Herabsetzung der Sorgfaltsmaßstäbe herangezogen werde, während dies, insbesondere bei einem „Datenhändler“ (Anführungszeichen im Original), eigentlich Anlass für „hohe Schutzmaßnahmen“ und strenge Auskunftspflichten sein müsste. Protokolldaten seien Teil des zu beauskunftenden Datenbestandes. Die Beschwerdegegnerin argumentiere außerdem insoweit widersprüchlich, als sie angeblich keine Daten zu Übermittlungsempfängern ohne unzumutbaren Aufwand abrufen könne, zu bestimmten Übermittlungsempfängern aber doch Angaben gemacht habe. Es fehlten außerdem Angaben zur Herkunft der Daten, da diese nicht einfach „ermittelt“ (Anführungszeichen im Original) worden seien sondern aus konkreten, anzugebenden Quellen (z.B. Grundbuch, ZMR, Telefonanrufe) stammen müssten. Betreffend die Beauskunftung der Entscheidungslogik brachte der Beschwerdeführer vor, die Beschwerdegegnerin habe als Auskunft einfach eine „Kopie eines Werbetexts“ für „**Peer-Groups“ vorgebracht. Es fehle an Angaben, wie der seiner Person zugeschriebene Wert „digitaler Individualist“ zustande komme oder sein Einkommen errechnet worden sei. Der Beschwerdeführer beantragte, den Sachverhalt weiter zu ermitteln, einen Augenschein durchzuführen und die tatsächliche Datenverwendung durch die Beschwerdegegnerin festzustellen.

4.           Die Beschwerdegegnerin replizierte auf die Stellungnahme des Beschwerdeführers in ihrer Stellungnahme vom 10. Juni 2015 wie folgt: Die vom Beschwerdeführer gerügten Unvollständigkeiten, Widersprüchlichkeiten und Falschangaben lägen nicht vor, die Auskunft sei ordnungsgemäß und vollständig erteilt worden. Die in der Auskunft (in einer Fußnote) gemachte „Anmerkung über voraussichtliche Richtigkeit“ bezöge sich darauf, dass die Daten mit veröffentlichten statistischen Daten der Statistik Austria (Geodaten bzw. Gebäuderegister) abgeglichen bzw. referenziert wurden. Es bestehe keine Pflicht, Auskunft über die Nichtspeicherung von Daten einer bestimmten, „nicht befüllten“ Datenart zu erteilen. Die Richtigstellung von Daten aufgrund eines gestellten Auskunftsverlangens liege im Interesse des Betroffenen, entspreche gesetzlichen Pflichten und stelle kein Handeln entgegen Paragraph 26, Absatz 7, DSG 2000 dar, da keine Daten vernichtet worden seien. Betreffend die Verpflichtung zur Protokollierung der Datenherkunft und der Datenübermittlungen verweise die Beschwerdegegnerin darauf, dass der Gesetzgeber in Paragraph 14, DSG 2000 ausdrücklich auf die wirtschaftliche Vertretbarkeit der Protokollierung verweise und die Möglichkeit, nur Empfängerkreise zu beauskunften, in Paragraph 26, Absatz eins, DSG 2000 als gesetzmäßige Alternative vorsehe. Die Beschwerdegegnerin ermittle Daten nur aus legalen Quellen und verarbeite sie nach hohen Qualitätsgrundsätzen, insbesondere die Datenrichtigkeit betreffend. Auf Gerüchte oder unbekannte Informationsquellen könne sie nicht eingehen. Paragraph 14, DSG 2000 regle die Pflicht des Auftraggebers zu Datensicherheitsmaßnahmen, Paragraph 26, DSG 2000 das Recht des Betroffenen auf Auskunft. Ob diese Bestimmungen in gesetzlicher Verknüpfung stünden, habe nicht die Beschwerdegegnerin zu beurteilen. Die Empfängerkreise der Daten des Beschwerdeführers seien ihm in der erteilten Auskunft offengelegt worden. In Einzelfällen (die auch als Grenzfälle für die angegebenen Empfängerkreise missverstanden werden könnten) seien auch Empfänger bekanntgegeben worden. Über die Herkunft der Daten würden keine gesonderten Aufzeichnungen geführt, daher könne auch keine Auskunft erteilt werden. Sowohl Paragraph 26, DSG 2000 als auch die Richtlinie 95/46/EG kenne kein absolutes Recht auf Auskunft über die Datenherkunft sondern stelle auf die „verfügbaren Informationen über ihre Herkunft“ ab. Zu den Marketinganalysedaten wiederholte die Beschwerdegegnerin ihr Vorbringen betreffend „**Peer-Groups“ und führte aus, das errechnete Mindesteinkommen ergebe sich aus ortsbezogenen statistischen Daten des Bundesministeriums für Finanzen und dem Gebäuderegister.

5.           Die Datenschutzbehörde nahm in weiterer Folge am 11. Juni 2015 in den Geschäftsräumen der Beschwerdegegnerin in **** V*** eine Einschau vor (Niederschrift zu GZ: DSB-D122.322/0006-DSB/2015, Dauer der Amtshandlung: 2 ¾ Stunden).

6.           Nach beidseitigem Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens (GZ: DSB-D122.322/0009-DSB/2015 vom 17. Juli 2015) brachte der Beschwerdeführer in seiner Stellungnahme vom 31. Juli 2015 Folgendes vor: Zunächst rügte er, die Einschau der Datenschutzbehörde habe sich auf die Verwendung des „Terminal-Programms“ der Beschwerdegegnerin beschränkt und damit keine „absolute Sicherheit über den tatsächlichen Datenbestand in den Systemen“ geben können. Die Beschwerdegegnerin habe jedenfalls, soviel sei durch Niederschrift und Beilagen klargeworden, „bei ihrer Auskunft nicht den vollen Dateninhalt zur Verfügung gestellt“ (Unterstreichung im Original). Im Bereich „**Peer-Groups“ scheine die Beschwerdegegnerin alle Dateninhalte offengelegt zu haben. Dies seien aber nur „Rohdaten“, die Beschwerdegegnerin habe jedoch nicht offengelegt, wie die Logik der Berechnung laute, was die Datenbasis bilde und wie die Daten gewichtet würden. Auch sei es ihm auf Grundlage der erteilten Auskunft nicht möglich, die Rechtmäßigkeit dieser Datenverarbeitungsvorgänge zu beurteilen. Daher habe sie jedenfalls sein Auskunftsrecht gemäß Paragraph 26 und Paragraph 49, Absatz 3, DSG 2000 verletzt. Die Angaben zu den Rechtsgrundlagen der Datenverwendung betrachte er als ausreichend und vermutlich rechtmäßig. Dies gelte nicht für die Frage der Auskunft zur Datenherkunft und zu den Übermittlungsempfängern. Der Begriff des „unverhältnismäßigen Aufwands“, den die Beschwerdegegnerin heranziehe, um die Unterlassung der genauen Protokollierung der Verwendungsvorgänge rechtfertigen zu können, kommen im DSG 2000 nicht vor. Es stelle sich weiters die Frage, ob die Beschwerdegegnerin sich ihrer Pflichten zur Auskunftserteilung dadurch entziehen könne, dass sie die Daten „möglichst zerstreut und unsortiert“ speichere. Dabei sei auch hinsichtlich der früheren Rechtsprechung, auf die sich die Beschwerdegegnerin berufen habe, zu beachten, dass diese „nicht mehr relevant“ sei, da Paragraph 26, Absatz eins, DSG 2000 durch den Entfall des Worts „verfügbaren“ gemäß DSG-Novelle 2010, Bundesgesetzblatt Teil eins, Nr. 133 aus 2009,, strenger gefasst worden sei. Hier sei im Zweifel der Wortlaut maßgeblich. Angesichts der von der Beschwerdegegnerin selbst ins Treffen geführten enorm großen Datenmengen (angeblich „so groß, dass sie einer Kontrolle nicht mehr zugänglich ist“) sei eine gemäß Paragraph 14, Absatz 2, Ziffer 7, DSG 2000 angemessene Protokollierung der Datenverwendung geboten. Diese müsste die volle Herkunft der Daten dokumentieren, daher sei auch in diesem Umfang Auskunft zu erteilen. Gleiches gelte sinngemäß für die Datenempfänger, wobei die Beschwerdegegnerin selbst die Auskunft über die Empfängerkreise nachweislich zu eng gefasst habe, da „Kreditauskunfteien und Adresshändler“ nicht angegeben worden seien. Die Beschwerdegegnerin erkläre hier überdies nicht, warum sie einzelne Datenempfänger angebe, bei anderen aber keine Auskunft erteile. Die Frage des Zwecks der Datenverwendung sei hinreichend geklärt worden. Weiteres Vorbringen des Beschwerdeführers bezieht sich auf die Frage der Rechtmäßigkeit der Datenverwendung und wird daher nicht wiedergegeben.

7.           Die Beschwerdegegnerin hat sich zu den weiteren Ergebnissen des Ermittlungsverfahrens nicht mehr geäußert.

8.           Der Beschwerdeführer ergänzte sein Anbringen am 16. Februar 2016 (Datum der elektronischen Signatur) um den Antrag, der Beschwerdegegnerin gegebenenfalls die ergänzende Auskunftserteilung durch Bescheid aufzutragen.

B. Beschwerdegegenstand

9.           Auf Grund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin das Auskunftsverlangen des Beschwerdeführers vom 17. Jänner 2015 durch Schreiben vom 10. März 2015 (samt Ergänzung vom 9. April 2015) gesetzmäßig beantwortet hat.

C. Sachverhaltsfeststellungen

10.         Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

11.         Der Beschwerdeführer, der ein allgemein bekannter Experte für Datenschutzrecht (akademischer Grad Dr.iur.) ist, hat am 17. Jänner 2015 folgendes Schreiben (Layout nur annähernd wiedergegeben) an die Beschwerdegegnerin gerichtet:

Datenauskunft nach RL 95/46/EG bzw dem national anwendbaren Gesetz

Guten Tag!

Ich hätte gerne umgehend volle Auskunft (Datenbestand, Quellen, Übermittlungsempfänger, Zweckbeschreibung, Entscheidungen, Logik der Entscheidungen, etc) über die von mir gespeicherten Daten. Der Identitätsnachweis erfolgt über digitale Signatur (siehe unten).

Weitere Informationen:

Namen:   Dr. Berthold D***

(weiter: „Berthold D***“ und „Bert D***“)

Geburtsdatum:  **.**.1971

Anschrift:  I***gasse *9/12, **** V***, Österreich

(zuvor: E***straße *3, **** Ä***, Österreich)

Weitere Kontaktdaten / Identifier:

Berthold.D***@xxx.at, j0****@u***p***.at sowie E-Mail-Adressen mit der Endung

*@B*** D***.com und *@D*.** [Anmerkung Bearbeiter: E-Mail-Domains enthalten teilweise Namensbestandteil des Beschwerdeführers] Weiter die Telefonnummern +43 **3*6*1.“

12.         Das Schreiben war mit einer qualifizierten elektronischen Signatur versehen und ist der Beschwerdegegnerin zugestellt worden.

Beweiswürdigung: Diese Feststellungen beruhen auf dem zitierten Auskunftsverlangen, vorgelegt als Beilage zur am 11. März 2015 eingebrachten Datenschutzbeschwerde. Die Zustellung des Auskunftsverlangens ist unbestritten.

13.         Am 10. März 2015 wurde dem Beschwerdeführer (vorab) per E-Mail folgendes Schreiben der Beschwerdegegnerin zugestellt:

[Anmerkung Bearbeiter: grafische Wiedergabe des Schreiben kann, da nicht pseudonymisierbar, mit vertretbarem Aufwand nicht im RIS dargestellt werden.]

14.         Nachdem der Beschwerdeführer am 11. März 2015 die gegenständliche datenschutzrechtliche Beschwerde anhängig gemacht hatte, ist ihm (durch den rechtsfreundlichen Vertreter der Beschwerdegegnerin) das folgende Schreiben der Beschwerdegegnerin vom 9. April 2015 übermittelt worden:

[Anmerkung Bearbeiter: grafische Wiedergabe des Schreiben kann, da nicht pseudonymisierbar, mit vertretbarem Aufwand nicht im RIS dargestellt werden.]

15.         Der Erhalt beider Auskunftsschreiben ist seitens des Beschwerdeführers unbestritten.

Beweiswürdigung: Diese Feststellungen beruhen auf den zitierten und oben als Faksimiles (Scans) wiedergegebenen Urkundenkopien (Beilagen zur am 11. März 2015 eingelangten Beschwerde und zur Stellungnahme der Beschwerdegegnerin vom 9. April 2015). Der Bekanntheitsgrad des Beschwerdeführers bedarf gemäß Paragraph 45, Absatz eins, AVG keines Beweises.

16.         Die Beschwerdegegnerin betreibt ein Unternehmen, das das Gewerbe des Adressverlags und Direktmarketingunternehmens nach Paragraph 151, GewO 1994 ausübt.

17.         Die für diesen Zwecke bestehende Datenbank (interne Bezeichnung: Konsumenten-X-Base) ist in der Programmiersprache Foxpro geschrieben und tabellarisch strukturiert. Die Datensätze sind nach Haushalten (gekennzeichnet durch eine interne Haushalts-Kennnummer – HSTNBR, auch Haushalts-Nr.-X-Base) und Personen (gekennzeichnet durch eine interne Personen(stamm)-Kennnummer – PRSNBR, auch Personen-Nr.-X-Base) gegliedert. Übermittlungen selektierter Inhalte der Datenbank werden an Kunden der Beschwerdegegnerin in der Regel elektronisch über das Internet-Protokoll FTP bzw. SFTP vorgenommen, was heißt, dass zwar nachvollziehbar ist, dass ein bestimmter Kunde eine entsprechende Übermittlung (Datei in den Formaten Excel, CSV, Access oder .txt) erhalten hat, allerdings ist damit nicht automatisch eine Information verbunden, was der Inhalt war, d. h. welche Personendatensätze Teil der Übermittlung waren. Eine Protokollierungsdatei (Log-File), an Hand derer sich nachvollziehen ließe, wie oft ein bestimmter Datensatz ausgewählt und abgefragt worden ist, existiert nicht. Ebensowenig existiert eine allgemeine Protokollierungsdatei, die die Herkunft der Daten angeben würden. Die Herkunft kann nur in Einzelfällen (etwa bei gespeicherten Adress-Codes der *** Postdienst GmbH, die u.a. Umzugsdaten kennzeichnen) an Hand der gespeicherten Daten nachvollzogen werden.

18.         Zur Klassifizierung der Daten für Marketingzwecke verwendet die Beschwerdegegnerin unter anderem das System **Peer-Groups. In diesem System werden auf Grundlage sozialwissenschaftlicher Erhebungen gesellschaftliche Werte (Lebensauffassungen und Lebensweisen entsprechend der H***-Zielgruppen-Typologie der S*** Markt- und Sozialforschung GmbH) und deren Verteilung in der Bevölkerung festgestellt und auf Grundlage statistischer Wahrscheinlichkeit mit jeweils einer bestimmten Adresse (1,9 Mio Häuser/Adressen in Österreich) verknüpft. Diese Verknüpfung an Hand von nicht-personenbezogenen Adress-Codes (PACs) erfolgt durch einen Dienstleister, die F*** GmbH. Durch Verknüpfung mit der eigenen Datenbank werden diese **Peer-Group-Werte in weiterer Folge durch die Beschwerdegegnerin bestimmten Personendatensätzen zugeordnet (diese Personendatensätze „angereichert“).

19.         Durch eine solche Verknüpfung ist der Beschwerdeführer in der Datenbank der Beschwerdegegnerin der Gruppe der „digitalen Individualisten“ zugerechnet worden (als dominante **Peer-Group mit einer Wahrscheinlichkeit von 28,44 %).

20.         Weitere Klassifizierungen (wie Stellung im Haushalt, Haushaltsgröße, geschätztes Jahreseinkommen pro Person und pro Haushalt, Zahl der Umzüge) erfolgen durch einen internen Abgleich in der Datenbank der Beschwerdegegnerin bzw. durch einen Abgleich bzw. eine „Anreicherung“ mit allgemein verfügbaren statistischen Daten.

Beweiswürdigung: Diese Feststellungen beruhen in der Hauptsache auf dem Ergebnis der Einschau der Datenschutzbehörde in den Geschäftsräumen der Beschwerdegegnerin am 11. Juni 2015, Niederschrift GZ: DSB-D122.322/0006-DSB/2015, sowie auf glaubwürdigen Angaben der Beschwerdegegnerin selbst und amtsbekannten Tatsachen. Die Datenschutzbehörde ist der Anregung des Beschwerdeführers, die Datenanwendungen der Beschwerdegegnerin einer noch genaueren Prüfung (sinngemäß ohne Verwendung des „Terminal-Programms“ der Beschwerdegegnerin) zu unterziehen, um „absolute Sicherheit über den tatsächlichen Datenbestand“ zu gewinnen, nicht gefolgt. Der Beschwerdeführer hat nicht ausreichend dargelegt, welche Erkenntnisse dadurch zu gewinnen wären. Auch mit dem Hinweis auf „Quellen“, also mögliche Zeugen, bei Konkurrenten der Beschwerdegegnerin, deren Namen der Beschwerdeführer aber nicht nennen dürfe, ist für die Sache des Beschwerdeführers nichts zu gewinnen. Nach Ansicht der Datenschutzbehörde sind die entscheidungswesentlichen Fragen geklärt worden. Die Feststellung des gesamten „tatsächlichen Datenbestands“ (gemeint wohl: zur Person des Beschwerdeführers) war nicht Gegenstand des Verfahrens, weil in diesem Fall die Gewährung von Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens bereits das Ergebnis einer möglicherweise gemäß Paragraph 31, Absatz 7, DSG 2000 zu ergänzenden datenschutzrechtlichen Auskunftserteilung vorwegnehmen und eine behördliche Entscheidung (die eine Leistungserbringung durch den datenschutzrechtlich verantwortlichen Auftraggeber zum Ziel hat, vergleiche hierzu das Erkenntnis des BVwG vom 17.11.2015, W214 2014069-1, RIS, und die darin zitierte Rspr des VwGH) nahezu ad absurdum führen würde. Eine solche Beweisaufnahme mag nach Ansicht des Beschwerdeführers für diesen ganz allgemein von Interesse sein, doch decken überdies die gesetzlichen Befugnisse der Datenschutzbehörde gemäß Paragraphen 30, f DSG 2000 die Durchführung eines sogenannten Erkundungsbeweises (ein Beweis nach dem Motto: Schauen wir mal, was wir vielleicht finden!) nicht (zur regelmäßigen Unzulässigkeit des Erkundungsbeweises im AVG-Verfahren, vergleiche allgemein die ständig Rspr des VwGH, etwa E 14.11.1984, VwSlg 11584 A/1984, und E 11.12.2002, 2001/03/0057, letzteres betreffend eine verlangte Beweisaufnahme zur Funktionsfähigkeit eines technischen Kontrollgeräts).

D. In rechtlicher Hinsicht folgt daraus:

Allgemeines, Gegenstand des Verfahrens

21.         Zunächst ist daran zu erinnern, dass Gegenstand dieses Verfahrens ausschließlich die Frage der gesetzmäßigen datenschutzrechtlichen Auskunftserteilung durch die Beschwerdegegnerin ist. Dies allein schon aufgrund der durch Paragraph 31, Absatz eins und Paragraph 32, Absatz eins, DSG 2000 beschränkten Zuständigkeit der Datenschutzbehörde, in diesem Verwaltungsverfahren einen Bescheid zu erlassen. Durch diese Grenze war auch der Gegenstand des Ermittlungsverfahrens (samt Beweisthemen) beschränkt.

22.         Das Auskunftsrecht ist ein anlassunabhängiges, subjektives Kontrollrecht (Bescheid der früheren Datenschutzkommission [DSK] vom 14.9.2012, K121.830/0008-DSK/2012, RIS), das auf Feststellung eines sachverhaltsmäßigen Ist-Zustandes gerichtet ist. Der datenschutzrechtlich Verantwortliche (Auftraggeber) hat dabei dem Betroffenen auch unrichtige oder rechtswidrig verwendete Daten offenzulegen vergleiche Paragraph 26, Absatz 7 und Paragraph 52, Absatz eins, Ziffer 4, DSG 2000). Umgekehrt ist das Beschwerdeverfahren gemäß Paragraph 31, Absatz eins, DSG 2000 jedoch (siehe oben, Rz 21) nicht der prozessuale Weg, um das Recht auf Richtigstellung bzw. Löschung oder eine Verletzung im Recht auf Geheimhaltung geltend zu machen oder Pflichtenverletzungen eines datenschutzrechtlich Verantwortlichen zu rügen. Ausführungen zur allgemeinen Rechtmäßigkeit der Datenverwendung durch die Beschwerdegegnerin, zur Rechtmäßigkeit bestimmter Verwendungsvorgänge und zu Protokollierungspflichten, etc., gehen daher ins Leere. Der Beschwerdeführer ist hierzu auf das von ihm initiierte Kontroll- und Ombudsmannverfahren gemäß Paragraph 30, Absatz eins, DSG zu verweisen (Zl. DSB-D215.****). Auf die damit im Zusammenhang stehenden Fragen wird daher in weiterer Folge nicht näher eingegangen.

23.         Gegenstand einer zu erteilenden datenschutzrechtlichen Auskunft sind die im Zeitpunkt des Einlangens des Auskunftsverlangens tatsächlich verarbeiteten Daten. Maßstab ist dabei die formelle Wahrheit. Es besteht bei Durchsetzung des Auskunftsrechts kein Anspruch darauf, dass die gespeicherten Daten im Sinne eines vom Betroffenen erwarteten Soll-Zustandes vollständig und in dem Sinne materiell richtig sind, dass sie etwa in der Vergangenheit liegende Ereignisse (z.B. die Herkunft der Daten aus einer bestimmten Quelle oder die Empfänger bestimmter Daten) wahrheitsgetreu und vollständig abbilden. Der Soll-Zustand kann gegebenenfalls in weiterer Folge vom Betroffenen durch Ausübung des Rechts auf Richtigstellung (Paragraphen eins, Absatz 3, Ziffer 2,, 27 Absatz eins, Ziffer 2, DSG 2000) hergestellt werden.

Vollständigkeit der Auskunftserteilung (Paragraph 26, Absatz eins und 4 DSG 2000)

24.         Durch die ergänzende Auskunftserteilung vom 9. April 2015 ist letztlich auch eine Auskunftserteilung über weitere und – dies ist entscheidend – der Beschwerdegegnerin bekannte oder mit Hilfe der Datenanwendungen der Beschwerdegegnerin ohne übermäßigen Aufwand feststellbare Übermittlungsempfänger erteilt worden. Sie hat weiters auch über das Geburtsdatum und die frühere Adresse des Beschwerdeführers Auskunft (und die Anzahl seiner Umzüge) erteilt. Im Ermittlungsverfahren konnte nicht festgestellt werden, dass Daten zu weiteren Übermittlungsempfängern und zur Herkunft der Daten verarbeitet werden. Es besteht auch kein Recht auf die Feststellung, dass eine ursprünglich erfolgte Auskunftserteilung noch nicht dem Gesetz entsprochen hat vergleiche das bereits weiter oben zitierte Erkenntnis des BVwG vom 17.11.2015, W214 2107281-1, RIS).

25.         Damit hat die Beschwerdegegnerin letztlich in diesem Punkt die Beschwerde gegenstandslos gemacht.

26.         Nicht zu beurteilen ist in diesem Verfahren, ob der Umfang der Datenspeicherung über Herkunft und Empfänger von Daten bestimmten Pflichten (etwa der Pflicht zur Protokollierung Paragraph 14, Absatz 2, Ziffer 7, DSG 2000) entspricht. Es gibt kein subjektives Recht des Beschwerdeführers auf Speicherung solcher Protokolldaten vergleiche oben Rz. 21 bis 23). Trotz Wegfalls des Wortes „verfügbaren“ in Paragraph 26, Absatz eins, 3. Satz DSG 2000 durch Bundesgesetzblatt Teil eins, Nr. 133 aus 2009, findet das Recht auf Auskunft seine Grenzen am tatsächlichen Umfang der Datenspeicherung, da über nicht verarbeitete Daten keine Auskunft zu erteilen ist vergleiche dazu den Bescheid der DSK vom 24.02.2012, K121.751/0006-DSK/2012, RIS).

Auskunft betreffend automatisierte Einzelentscheidungen (Paragraph 49, Absatz 3, DSG 2000)

27.         In diesem Punkt hat die Beschwerdegegnerin auf das Verlangen des Beschwerdeführers hin, die „Logik der Entscheidungen“ zu beauskunften, keine, auch keine ergänzende Auskunft erteilt und ist auf diesen Punkt des Auskunftsverlangens nicht gesondert eingegangen. Dabei ist hier relevant, dass der Beschwerdeführer sein Auskunftsverlangen weder auf Paragraph 49, DSG 2000 (oder die entsprechende Bestimmung „nach RL 95/46/EG“, dies wäre Artikel 15, Absatz eins, leg.cit.) gestützt, noch darin den Begriff der „automatisierten Einzelentscheidung“ gebraucht hat.

28.         Laut Sachverhaltsfeststellungen übt die Beschwerdegegnerin das Gewerbe des Adressverlags und Direktmarketingunternehmens nach Paragraph 151, GewO 1994 aus. Die Sachverhaltsfeststellungen haben weiters ergeben, dass die Beschwerdegegnerin gemäß Paragraph 151, Absatz 6, GewO 1994 die Daten des Beschwerdeführers mit Marketingklassifikationen versehen hat. Bei dem in der Sachverhaltsfeststellung beschriebenen System der „**Peer-Groups“ handelt es sich um ein solches Verfahren zur Zuschreibung von Marketingklassifikationen.

29.         Die Zuschreibung von Marketingklassifikationen ist kein Vorgang der automatisierten Einzelentscheidung, der dem besonderen Auskunftsrecht gemäß Paragraph 49, Absatz 3, DSG 2000 unterliegt. Grund dafür ist, dass der Betroffene durch diese Datenverarbeitung nicht in einer für Dritte erkennbaren Weise als Einzelperson bewertet wird. Der Vorgang verfolgt entscheidend andere Zielsetzungen als etwa der Verarbeitungsvorgang einer Bonitätsbewertung („Bewertung einzelner Aspekte seiner Person [...], wie beispielsweise seiner [...] Kreditwürdigkeit“, Paragraph 49, Absatz 3, DSG 2000), wie sie von Gewerbetreibenden nach Paragraph 152, GewO 1994 regelmäßig angeboten wird. Dabei wird eine Einzelfallprüfung durchgeführt, die für den Betroffenen beispielsweise die Konsequenz haben kann, dass der Empfänger der Ergebnisdaten einen Vertrag mit ihm ablehnt oder auf bestimmten Zahlungsbedingungen besteht. Nur wegen dieser möglichen Konsequenzen eines automatisierten Bewertungsverfahrens räumt das Gesetz hier dem Betroffenen ein besonderes Auskunftsrecht hinsichtlich der Logik des Verarbeitungsvorgangs ein, das über das Auskunftsrecht gemäß Paragraph 26, Absatz eins und 4 DSG hinausgeht. Bei der Marketingklassifikation hingegen, deren Verwendung als Datum gemäß Paragraph 151, Absatz 6, letzter Halbsatz GewO 1994 ausschließlich auf den Verwendungszweck des Direktmarketings beschränkt ist, werden (auch nach statistischen Wahrscheinlichkeiten errechnete und geschätzte) marketingrelevante Eigenschaften einer größeren Personengruppe zugeschrieben, was nach dem Wortlaut wie der Systematik der Bestimmung nur und ausschließlich die Konsequenz haben darf, dass ein Betroffener nicht zu den Empfängern bestimmter Werbebotschaften zählt, etwa weil diese sich nicht an die Gruppe der (wie auch immer definierten) „digitalen Individualisten“ richten.

30.         Paragraph 49, Absatz 3, DSG 2000 nennt ebenso wie Artikel 15, Absatz eins, RL 95/46/EG vergleiche dazu auch den Erwägungsgrund 41) drei Tatbestände von verbotenen oder doch aus datenschutzrechtlichen Erwägungen in ihrer Zulässigkeit eingeschränkten automatisierten Einzelentscheidungen: die Bewertung der Kreditwürdigkeit (z.B. die Errechnung von Score-Werten auf Grundlage der „Zahlungserfahrungsdaten“ eines Wirtschaftsauskunftsdienstes), die Bewertung der beruflichen Leistungsfähigkeit (z.B. durch Systeme, die an Hand der Zahl und des Intervalls der Bedienungsvorgänge eines Computersystems Leistungsprofile erstellen) und die Bewertung des Verhaltens (z.B. durch Auswertung von Bewegungen eines Betroffenen in den Bilddaten einer oder mehrerer Videoüberwachungen im Hinblick auf verbrechenstypische Verhaltensmerkmale). In allen drei Beispielsfällen ist das Auskunftsinteresse eines Betroffenen an der Logik der Entscheidungsfindung evident. Der Verarbeitungsvorgang einer Marketingklassifikation birgt hingegen keine vergleichbaren, dem Betroffenen drohenden Entscheidungen und Konsequenzen. Daher besteht auch kein Grund, diese Art der Datenverwendung in das Auskunftsrecht gemäß Paragraph 49, Absatz 3, DSG 2000 einzubeziehen.

31.         Über den Inhalt der Daten, einschließlich der dem Beschwerdeführer zugeschriebenen Marketingklassifikationsdaten, ist von der Beschwerdegegnerin gemäß Paragraph 26, Absatz eins, DSG 2000 Auskunft erteilt worden. Da der rechtskundige und als Experte für Datenschutzrecht Anfang 2015 allgemein bekannte Beschwerdeführer vergleiche zu den erhöhten Anforderungen, die an datenschutzrechtliche Auskunftsverlangen rechtskundiger Personen zu stellen sind, den Bescheid der DSK vom 6.9.2013, K121.964/0015-DSK/2013, RIS) bei der Beschwerdegegnerin, die jedenfalls nicht zum Kern der gemäß Paragraph 49, Absatz 3, DSG 2000 auskunftspflichtigen Unternehmen zählt, auch nicht ausdrücklich und unmissverständlich letzteres spezielles Auskunftsrecht geltend gemacht hat vergleiche die Erwägungen der DSK e contrario im Bescheid vom 25.5.2012, K121.791/0008-DSK/2012, RIS), war die Beschwerdegegnerin auch nicht verpflichtet, im Rahmen einer Auskunft gemäß Paragraph 26, Absatz eins und 4 DSG 2000 auf diese Frage näher einzugehen, sie etwa ausdrücklich zu verneinen.

32.         Die Beschwerdegegnerin ist daher im Recht, wenn sie vorbringt, keine automatisierten Einzelentscheidungen vorzunehmen, und hat den Beschwerdeführer dadurch, dass sie keine Auskunft gemäß Paragraph 49, Absatz 3, DSG 2000 erteilt hat, daher nicht in seinem Recht gemäß dieser Bestimmung verletzt.

Sonstige Auskunftserteilung

33.         Weitere in Paragraph 26, Absatz eins, DSG 2000 festgelegte Auskünfte (Zweck der Datenverwendung, Rechtsgrundlagen der Datenverwendung) hat die Beschwerdegegnerin in zweckentsprechender und damit gesetzmäßiger Weise erteilt, was auch vom Beschwerdeführer zuletzt nicht bestritten worden ist (siehe oben Rz 6).

Zusammenfassung

34.         Trotz bis zum Ende des Verfahrens fortbestehender Meinungsverschiedenheiten und einer verzögerten, in Etappen erfolgten Auskunftserteilung, hat die Beschwerdegegnerin bei Schluss des Ermittlungsverfahrens den Beschwerdeführer im Ergebnis klaglos gestellt und die Beschwerde damit gegenstandslos gemacht.

35.         Die Beschwerde war daher spruchgemäß als unbegründet abzuweisen.

European Case Law Identifier

ECLI:AT:DSB:2016:DSB.D122.322.0001.DSB.2016